1.jwt介紹
介紹部分轉(zhuǎn)載自阮一峰《JSON Web Token 入門教程》
0.session 登錄
1����、用戶向服務(wù)器發(fā)送用戶名和密碼。
2�、服務(wù)器驗(yàn)證通過(guò)后,在當(dāng)前對(duì)話(session)里面保存相關(guān)數(shù)據(jù)�����,比如用戶角色�、登錄時(shí)間等等。
3�、服務(wù)器向用戶返回一個(gè) session_id,寫入用戶的 Cookie����。
4、用戶隨后的每一次請(qǐng)求�����,都會(huì)通過(guò) Cookie�,將 session_id 傳回服務(wù)器����。
5�����、服務(wù)器收到 session_id�����,找到前期保存的數(shù)據(jù)����,由此得知用戶的身份。
1.session登錄存在的問(wèn)題
這種模式的問(wèn)題在于�,擴(kuò)展性(scaling)不好。單機(jī)當(dāng)然沒(méi)有問(wèn)題�,如果是服務(wù)器集群,或者是跨域的服務(wù)導(dǎo)向架構(gòu)����,就要求 session 數(shù)據(jù)共享,每臺(tái)服務(wù)器都能夠讀取 session�����。
舉例來(lái)說(shuō)�����,A 網(wǎng)站和 B 網(wǎng)站是同一家公司的關(guān)聯(lián)服務(wù)?,F(xiàn)在要求,用戶只要在其中一個(gè)網(wǎng)站登錄����,再訪問(wèn)另一個(gè)網(wǎng)站就會(huì)自動(dòng)登錄,請(qǐng)問(wèn)怎么實(shí)現(xiàn)����?
一種解決方案是 session 數(shù)據(jù)持久化,寫入數(shù)據(jù)庫(kù)或別的持久層�����。各種服務(wù)收到請(qǐng)求后�,都向持久層請(qǐng)求數(shù)據(jù)。這種方案的優(yōu)點(diǎn)是架構(gòu)清晰�����,缺點(diǎn)是工程量比較大。另外,持久層萬(wàn)一掛了����,就會(huì)單點(diǎn)失敗�����。
另一種方案是服務(wù)器索性不保存 session 數(shù)據(jù)了,所有數(shù)據(jù)都保存在客戶端����,每次請(qǐng)求都發(fā)回服務(wù)器。JWT 就是這種方案的一個(gè)代表����。
2.原理
JWT 的原理是,服務(wù)器認(rèn)證以后�����,生成一個(gè) JSON 對(duì)象�,發(fā)回給用戶,就像下面這樣����。
{
"姓名": "張三",
"角色": "管理員",
"到期時(shí)間": "2018年7月1日0點(diǎn)0分"
}
以后,用戶與服務(wù)端通信的時(shí)候�,都要發(fā)回這個(gè) JSON 對(duì)象����。服務(wù)器完全只靠這個(gè)對(duì)象認(rèn)定用戶身份�����。為了防止用戶篡改數(shù)據(jù)�,服務(wù)器在生成這個(gè)對(duì)象的時(shí)候�����,會(huì)加上簽名(詳見(jiàn)后文)�。
服務(wù)器就不保存任何 session 數(shù)據(jù)了,也就是說(shuō)����,服務(wù)器變成無(wú)狀態(tài)了,從而比較容易實(shí)現(xiàn)擴(kuò)展����。
3.JWT 的數(shù)據(jù)結(jié)構(gòu)
實(shí)際的 JWT 大概就像下面這樣。
它是一個(gè)很長(zhǎng)的字符串����,中間用點(diǎn)(.)分隔成三個(gè)部分�����。注意�,JWT 內(nèi)部是沒(méi)有換行的����,這里只是為了便于展示,將它寫成了幾行����。
JWT 的三個(gè)部分依次如下。
- Header(頭部)
- Payload(負(fù)載)
- Signature(簽名)
寫成一行����,就是下面的樣子。
Header.Payload.Signature
下面依次介紹這三個(gè)部分�����。
Header 部分是一個(gè) JSON 對(duì)象����,描述 JWT 的元數(shù)據(jù),通常是下面的樣子。
{
"alg": "HS256",
"typ": "JWT"
}
上面代碼中�,alg屬性表示簽名的算法(algorithm),默認(rèn)是 HMAC SHA256(寫成 HS256)����;typ屬性表示這個(gè)令牌(token)的類型(type)�����,JWT 令牌統(tǒng)一寫為JWT�。
最后,將上面的 JSON 對(duì)象使用 Base64URL 算法(詳見(jiàn)后文)轉(zhuǎn)成字符串����。
3.2 Payload
Payload 部分也是一個(gè) JSON 對(duì)象,用來(lái)存放實(shí)際需要傳遞的數(shù)據(jù)�。JWT 規(guī)定了7個(gè)官方字段,供選用����。
- iss (issuer):簽發(fā)人
- exp (expiration time):過(guò)期時(shí)間
- sub (subject):主題
- aud (audience):受眾
- nbf (Not Before):生效時(shí)間
- iat (Issued At):簽發(fā)時(shí)間
- jti (JWT ID):編號(hào)
除了官方字段,你還可以在這個(gè)部分定義私有字段����,下面就是一個(gè)例子。
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT 默認(rèn)是不加密的����,任何人都可以讀到,所以不要把秘密信息放在這個(gè)部分�。
這個(gè) JSON 對(duì)象也要使用 Base64URL 算法轉(zhuǎn)成字符串。
3.3 Signature
Signature 部分是對(duì)前兩部分的簽名�,防止數(shù)據(jù)篡改。
首先�,需要指定一個(gè)密鑰(secret)。這個(gè)密鑰只有服務(wù)器才知道����,不能泄露給用戶。然后�,使用 Header 里面指定的簽名算法(默認(rèn)是 HMAC SHA256),按照下面的公式產(chǎn)生簽名����。
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
算出簽名以后,把 Header����、Payload、Signature 三個(gè)部分拼成一個(gè)字符串�����,每個(gè)部分之間用"點(diǎn)"(.)分隔,就可以返回給用戶�。
3.4 Base64URL
前面提到,Header 和 Payload 串型化的算法是 Base64URL�。這個(gè)算法跟 Base64 算法基本類似,但有一些小的不同����。
JWT 作為一個(gè)令牌(token),有些場(chǎng)合可能會(huì)放到 URL(比如 api.example.com/?token=xxx)�。Base64 有三個(gè)字符+�、/和=,在 URL 里面有特殊含義�,所以要被替換掉:=被省略、+替換成-����,/替換成_ 。這就是 Base64URL 算法�����。
4.JWT 的使用方式
客戶端收到服務(wù)器返回的 JWT�,可以儲(chǔ)存在 Cookie 里面,也可以儲(chǔ)存在 localStorage。
此后����,客戶端每次與服務(wù)器通信,都要帶上這個(gè) JWT����。你可以把它放在 Cookie 里面自動(dòng)發(fā)送,但是這樣不能跨域�����,所以更好的做法是放在 HTTP 請(qǐng)求的頭信息Authorization字段里面�。
Authorization: Bearer <token>
另一種做法是,跨域的時(shí)候�����,JWT 就放在 POST 請(qǐng)求的數(shù)據(jù)體里面����。
5.JWT 的幾個(gè)特點(diǎn)
(1)JWT 默認(rèn)是不加密,但也是可以加密的�����。生成原始 Token 以后,可以用密鑰再加密一次����。
(2)JWT 不加密的情況下,不能將秘密數(shù)據(jù)寫入 JWT�����。
(3)JWT 不僅可以用于認(rèn)證�,也可以用于交換信息。有效使用 JWT�����,可以降低服務(wù)器查詢數(shù)據(jù)庫(kù)的次數(shù)����。
(4)JWT 的最大缺點(diǎn)是�����,由于服務(wù)器不保存 session 狀態(tài)�,因此無(wú)法在使用過(guò)程中廢止某個(gè) token,或者更改 token 的權(quán)限����。也就是說(shuō)�����,一旦 JWT 簽發(fā)了�����,在到期之前就會(huì)始終有效�,除非服務(wù)器部署額外的邏輯�����。
(5)JWT 本身包含了認(rèn)證信息����,一旦泄露,任何人都可以獲得該令牌的所有權(quán)限����。為了減少盜用,JWT 的有效期應(yīng)該設(shè)置得比較短�����。對(duì)于一些比較重要的權(quán)限,使用時(shí)應(yīng)該再次對(duì)用戶進(jìn)行認(rèn)證�。
(6)為了減少盜用,JWT 不應(yīng)該使用 HTTP 協(xié)議明碼傳輸�,要使用 HTTPS 協(xié)議傳輸。
2.koa2中使用jwt
1.jsonwebtoken插件
這個(gè)插件提供了生成jwt�,校驗(yàn)jwt,解碼jwt的能力����。在項(xiàng)目中,我們僅需要使用生成jwt����,和解碼jwt的能力。就可以了����。
生成token
const jsonwebtoken = require('jsonwebtoken');
const USER = {
username: 'zhangsan',
password: '123456',
id: 100
}
const SECRET = 'laotie666'; //隨意輸入
const token = jsonwebtoken.sign(
{ name: USER.username, id: USER.id }, // 加密userToken
SECRET,
{ expiresIn: '1h' }
)
這樣就生成了一串字符串,token現(xiàn)在的值是:
"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiemhhbmdzYW4iLCJpZCI6MTAwLCJpYXQiOjE1ODg1MTM2NTksImV4cCI6MTU4ODUxNzI1OX0.jFXifMFFizqRUK0V5clFql4VrtrQiTaD_wpsogNi6TY"
如果我想要獲取這上面的信息�,不需要知道秘鑰�����,直接使用jsonwebtoken這個(gè)插件就可以了�。
const jsonwebtoken = require('jsonwebtoken');
const token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiemhhbmdzYW4iLCJpZCI6MTAwLCJpYXQiOjE1ODg1MTM2NTksImV4cCI6MTU4ODUxNzI1OX0.jFXifMFFizqRUK0V5clFql4VrtrQiTaD_wpsogNi6TY"
console.log(jsonwebtoken.decode(token)); // { name: 'zhangsan', id: 100, iat: 1588511684, exp: 1588515284 }
2.koa-jwt 中間件的使用
這個(gè)中間件提供了一個(gè)校驗(yàn)方法����,可以在項(xiàng)目中全局校驗(yàn)����,兩行代碼就搞定了。
const koa = require('koa');
const koajwt = require('koa-jwt');
const app = new koa();
const SECRET = 'laotie666'; // demo�,可更換
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
我們發(fā)送請(qǐng)求的時(shí)候把剛才生成的token放到請(qǐng)求頭Authorization上,如果這個(gè)token里的秘鑰�����,等于koajwt里第一個(gè)參數(shù)中的secret屬性�����,那么就可以通過(guò)用戶驗(yàn)證����,否則返回401錯(cuò)誤。
如果想自定義處理這個(gè)錯(cuò)誤����,可以在上方添加中間件用next().catch()對(duì)401錯(cuò)誤進(jìn)行捕獲
const koa = require('koa');
const koajwt = require('koa-jwt');
const app = new koa();
const SECRET = 'laotie666'; // demo�,可更換
app.use(async (ctx, next) => {
return next().catch((err) => {
if (err.status === 401) {
// 自定義返回結(jié)果
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
3.結(jié)合起來(lái)
分為如下幾個(gè)步驟
-
引入相應(yīng)的插件
const koa = require('koa');
const koajwt = require('koa-jwt');
const jsonwebtoken = require('jsonwebtoken');
const koabody = require('koa-body');
const app = new koa();
-
定一個(gè)秘鑰
const SECRET = 'laotie666';
-
做一個(gè)虛假的信息����,不用連接數(shù)據(jù)庫(kù)了
const USER = {
username: 'zhangsan',
password: '123456',
id: 100
}
-
首先我們先進(jìn)行登錄操作����,獲取到body里的用戶名密碼,和數(shù)據(jù)庫(kù)進(jìn)行比對(duì)�����,如果無(wú)誤就用jwt插件生成token然后由瀏覽器locationstage保存起來(lái).
app.use(async (ctx, next) => {
if (ctx.path === '/api/login' && ctx.method === 'POST') {
// 登錄
// 判斷用戶名密碼是否匹配
let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
if (checkUser) {
ctx.body = {
code: 200,
msg: '登錄成功',
token: jsonwebtoken.sign(
{ name: USER.username, id: USER.id }, // 加密userToken
SECRET,
{ expiresIn: '1h' }
)
}
} else {
// 登錄失敗, 用戶名密碼不正確
ctx.body = {
code: 400,
msg: '用戶名密碼不匹配'
}
}
-
下次我們發(fā)送其他請(qǐng)求的時(shí)候�,我們將token取出來(lái),放到請(qǐng)求頭里的Authorization里����,然后給token前面加上Bearer 和一個(gè)空格 。
-
這樣koa-jwt插件就可以對(duì)token進(jìn)行驗(yàn)證�,驗(yàn)證就是檢查秘鑰是否相等,相等就可以接著進(jìn)行請(qǐng)求�。
// 中間件對(duì)401錯(cuò)誤進(jìn)行
app.use(async (ctx, next) => {
return next().catch((err) => {
if (err.status === 401) {
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
-
具體請(qǐng)求
else if (ctx.path === '/api/user' && ctx.method === 'GET') {
// 獲取用戶信息
// 中間件統(tǒng)一驗(yàn)證token
let token = ctx.header.authorization;
let payload = await util.promisify(jsonwebtoken.verify)(token.split(' ')[1], SECRET);
console.log(payload);
ctx.body = {
code: 200,
data: payload,
msg: '請(qǐng)求成功'
}
}
-
登錄請(qǐng)求
-
不攜帶token
-
攜帶token
4.完整代碼
直接node 文件名.js執(zhí)行即可啟動(dòng)服務(wù)����。
const koa = require('koa');
const koajwt = require('koa-jwt');
const jsonwebtoken = require('jsonwebtoken');
const util = require('util');
const koabody = require('koa-body');
const app = new koa();
const SECRET = 'laotie666'; // demo�����,可更換
app.use(koabody());
// 中間件對(duì)token進(jìn)行驗(yàn)證
app.use(async (ctx, next) => {
return next().catch((err) => {
if (err.status === 401) {
ctx.status = 401;
ctx.body = {
code: 401,
msg: err.message
}
} else {
throw err;
}
})
});
app.use(koajwt({ secret: SECRET }).unless({
// 登錄接口不需要驗(yàn)證
path: [/^\/api\/login/]
}));
// 示例
const USER = {
username: 'zhangsan',
password: '123456',
id: 100
}
// 登錄接口簽發(fā)token, 為了簡(jiǎn)便不使用router
app.use(async (ctx, next) => {
if (ctx.path === '/api/login' && ctx.method === 'POST') {
// 登錄
// 判斷用戶名密碼是否匹配
let checkUser = ctx.request.body.username == USER.username && ctx.request.body.password == USER.password;
if (checkUser) {
ctx.body = {
code: 200,
msg: '登錄成功',
token: jsonwebtoken.sign(
{ name: USER.username, id: USER.id }, // 加密userToken
SECRET,
{ expiresIn: '1h' }
)
}
} else {
// 登錄失敗, 用戶名密碼不正確
ctx.body = {
code: 400,
msg: '用戶名密碼不匹配'
}
}
} else if (ctx.path === '/api/user' && ctx.method === 'GET') {
// 獲取用戶信息
// 中間件統(tǒng)一驗(yàn)證token
let token = ctx.header.authorization;
let payload = await util.promisify(jsonwebtoken.verify)(token.split(' ')[1], SECRET);
console.log(payload);
ctx.body = {
code: 200,
data: payload,
msg: '請(qǐng)求成功'
}
}
})
app.listen(3000, function () {
console.log('listening 3000');
});
|
